Se fino a oggi gli indicatori di rischio sono stati adoperati prevalentemente per calcolare i possibili danni derivati dall'avverarsi di un'ipotesi e accantonare risorse adeguate per mitigarli, grazie all'utilizzo degli algoritmi è finalmente possibile prevedere le minacce e, prendendo le dovute contromisure, evitarle. È un vero e proprio ribaltamento del paradigma di risk management che è andato per la maggiore negli scorsi anni, un cambiamento frutto dell'introduzione delle tecnologie digitali e di metodologie innovative nell'ambito dell'acquisizione di informazioni qualificate. Si tratta di due premesse imprescindibili se si vuole fare il salto di qualità: gli algoritmi sono infatti tanto più efficaci quante più fonti di dati hanno a disposizione. Sia per costruire modelli statistici – previsionali per l'appunto – affidabili, sia per aggiornare in modo tempestivo e accurato le previsioni in funzione di cambiamenti di scenario o di nuovi elementi che impattano sull'ecosistema aziendale.
Algoritmi e indicatori di rischio
Concettualmente, gli indicatori di rischio sono entità che variano non solo da settore a settore, o da azienda ad azienda, ma anche da situazione a situazione. Non esiste un catalogo universale di Key Risk Indicators, e i risk manager devono scegliere accuratamente quali sono i più utili per l'organizzazione in un dato periodo di tempo, correlando leggi di sistema ed eventi riscontrati empiricamente. Si parla quindi di picchi stagionali, di trend, o anche solo di situazioni ricorrenti che devono trovare riscontro con le conseguenze che la catena degli eventi genera per l'andamento del business.
L'esempio classico, sul fronte dell'IT Risk Management (branca sempre più strategica all'interno della vasta disciplina del rischio operativo) è quello che riguarda la capacità di prevedere gli effetti sulla catena del valore di possibili down dei sistemi informativi durante periodi caratterizzati da carichi di lavoro extra. Il fatto che una situazione del genere, tipicamente ricorrente, possa generare disservizi è per l'appunto riscontrabile attraverso l'esperienza diretta e può essere valutato per istituire degli indicatori di rischio legati a specifici segnali che preannunciano il possibile insorgere di criticità. Sfruttando algoritmi adeguati, alimentati con le giuste fonti di dati, il sistema diventa in grado di prevedere minacce analoghe anche in situazioni impreviste o diverse dalla norma.
Cosa permettono di fare gli algoritmi applicati al risk management
D'altra parte, per certi versi la differenza tra KRI (Key Risk Indicators) e KPI (Key Performance Indicators) è molto sottile: qualsiasi modello di indicatore di rischio si basa infatti su una serie di informazioni raccolte e analizzate con algoritmi di natura statistica, che soprattutto in ambito finanziario permettono di calcolare il trend delle misurazioni e di conseguenza di comprendere se il trend rilevato è significativo. Tra i più diffusi, per esempio, c'è il modello COX-STUART, che aiuta a stabilire se un indicatore possiede un trend (positivo o uno negativo) significativo. Altre tipologie di algoritmi costruiscono invece una sorta di corridoio che mette in luce la significatività dei trend considerati, una finestra con soglie di anomalia definite, con riferimento alle quali ci si può posizionare per fornire un'interpretazione corretta alle informazioni disponibili. Si è così in grado di avere un'indicazione puntuale delle misurazioni fatte e delle soglie minime e massime su cui si attestano.
Algoritmi per il calcolo di soglie statiche e adattive
Da ricordare infine che gli algoritmi da associare agli indicatori di rischio sono essenzialmente di due categorie: quelli concepiti per il calcolo di soglie statiche e quelli invece di tipo adattativo. I primi, come suggerisce la definizione, dopo essere stati inseriti nel sistema, permettono di indicare in termini assoluti una soglia di tolleranza minima e una massima per la generazione di un alert rispetto a un certo trend (ad esempio: la percentuale di disponibilità complessiva dei sistemi informatici, che deve attestarsi sempre attorno al 100%). Attraverso la logica adattativa, invece, si stabiliscono soglie di alert e di rischio calcolate di volta in volta su algoritmi che si adattano alle misurazioni ricalcolando lo storico dei dati in funzione di nuovi eventi registrati dal sistema, in modo da innescare un vero e proprio meccanismo di autoapprendimento, che consentirà previsioni delle minacce sempre più accurate alla luce del contesto storico, economico e sociale in cui esse si stanno verificando (ad esempio: l’improvviso aumento di specifiche tipologie di eventi di cyber-crime).
Topic: Risk Management
Post Correlati
